Danmark: Datatilsynet uttrycker kritik mot Dantherm för bristande säkerhetsåtgärder

Datatilsynet har genomfört en granskning av Dantherm AS och konstaterat att företagets behandling av personuppgifter inte skett i enlighet med reglerna i artiklarna 24.1 och 32.1 i dataskyddsförordningen (“GDPR”).

Den 25 september 2020 rapporterade Dantherm att det inträffat en personuppgiftsincident till Datatilsynet. Dantherm hade utsatts för en ransomwareattack, där hackare lyckats få tillgång till Dantherms IT-miljö, från vilken hackarna läckt ut information om nuvarande och tidigare anställda på dark web. Hackarna fick förmodligen åtkomst via användaren “AV” som hade administratörsrättigheter. Användarkontot hade tidigare använts av en extern konsult som inte borde ha haft åtkomst vid attacken. Hackarna raderade de flesta av loggarna. Dantherm kunde därför inte svara på om kontot “AV” varit aktivt eller inaktiverat.

Enligt Datatilsynet får administrativa rättigheter endast ge tillgång till relevanta begränsade resurser (datorer, aktiva enheter, program, tjänster eller liknande), och loggning av all användning av rättigheterna måste säkerställas. Loggfilerna måste därför lagras på ett sådant sätt att användare med administrativa rättigheter inte kan stänga, radera eller ändra loggen.

Efter en granskning av ärendet konstaterade Datatilsynet att Dantherms behandling av personuppgifter inte uppfyllt kraven på lämplig säkerhet i artikel 32.1 GDPR. Datatilsynet framhöll särskilt att Dantherm inte hade säkerställt att användare med administratörsrättigheter inte kunde ta bort eller ändra loggfilerna.

Därutöver konstaterade Datatilsynet att Dantherm inte hade uppfyllt kravet att personuppgiftsansvariga måste kunna visa att lämpliga säkerhetåtgärder vidtagits vid behandling av personuppgifter enligt artikel 24.1 GDPR. I detta sammanhang betonade Datatilsynet att Dantherm inte kunde visa under vilka perioder ”AV”-kontot varit aktivt.

Mot denna bakgrund fann Datatilsynet skäl för att uttrycka kritik mot att Dantherms behandling av personuppgifter inte hade skett i enlighet med reglerna i GDPR.

Enligt Datatilsynet ärendet gällde ärendet så kallad gränsöverskridande behandling av personuppgifter då anställda i bland annat Tyskland, Polen och England påverkats av överträdelsen. Datatilsynet har därför fattat ett beslut i egenskap av den ledande tillsynsmyndigheten enligt “one-stop-shop-mekanismen” i GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 24 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Dantherm AS

Beslutsnummer: 2020-441-6990

Beslutsdatum: 2021-10-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.